MSR系列路由器GRE over IPsec典型配置举例

IPSEC over GRE VPN配置实例一、【组网要求】：R5和R7之间成立GRE隧道，R5和R7下挂网段间流量走GRE，在GRE中对流量进行加密。

拓扑结构图二、【实验目的】（1）掌握路由大体配置（2）掌握GRE的大体配置及网络测试（3）掌握在GRE隧道上实现IPSEC加密（4）理解在GRE隧道上传输IPSEC加密数据的进程三、【操作步骤】：步骤1：路由器接口地址配置（1）路由R5的配置hostname r5interface Serial0/0ip address shutinterface FastEthernet1/0ip address 10.1.1.1 shut（2）路由器R6的配置hostname r6interface Serial0/0ip address no shutinterface Serial0/1ip address shut（3）路由器R7的配置hostname r7interface Serial0/0ip address no shutinterface FastEthernet1/0ip address 10.1.2.1 shut（4）C一、C2主机IP地址配置步骤2：静态路由的配置。

能够利用动态路由代替（1）路由R5的配置ip route 0.0.0.0 （2）路由器R6的配置ip route 10.1.1.0 route 10.1.2.0 （3）路由器R7的配置ip route 0.0.0.0 （4）网络连通性测试C一、C2能互通步骤3：GRE VPN的配置（1）路由R5的配置10.1.2 Tunnel0 10.1.1 Tunnel0p 10.1.1p10.1.210.1.1/ remote ident (addr/mask/prot/port): (10.1.2.0/ current_peer port 500PERMIT, flags={origin_is_acl,}#pkts encaps: 18, #pkts encrypt: 18, #pkts digest: 18#pkts decaps: 18, #pkts decrypt: 18, #pkts verify: 18#pkts compressed: 0, #pkts decompressed: 0#pkts not compressed: 0, #pkts compr. failed: 0#pkts not decompressed: 0, #pkts decompress failed: 0#send errors 0, #recv errors 0local crypto endpt.: remote crypto endpt.: path mtu 1476, ip mtu 1476, ip mtu idb Tunnel0current outbound spi: 0xF993D0F9(73)inbound esp sas:spi: 0xCC4B30B9(37)transform: esp-des esp-sha-hmac ,in use settings ={Tunnel, }conn id: 2001, flow_id: SW:1, crypto map: mymapsa timing: remaining key lifetime (k/sec): (4606609/2980)IV size: 8 bytesreplay detection support: YStatus: ACTIVEinbound ah sas:inbound pcp sas:outbound esp sas:spi: 0xF993D0F9(73)transform: esp-des esp-sha-hmac ,in use settings ={Tunnel, }conn id: 2002, flow_id: SW:2, crypto map: mymapsa timing: remaining key lifetime (k/sec): (4606609/2979)IV size: 8 bytesreplay detection support: YStatus: ACTIVEoutbound ah sas:outbound pcp sas:四、路由器的相关配置文件R5#show runBuilding configuration...!hostname r1!crypto isakmp policy 10authentication pre-sharecrypto isakmp key cisco123 address ipsec transform-set myset esp-des esp-sha-hmac !crypto map mymap 10 ipsec-isakmpset peer set transform-set mysetmatch address 100!interface Tunnel0ip address tunnel source tunnel destination crypto map mymap!interface Serial0/0ip address serial restart-delay 0!interface FastEthernet1/0ip address 10.1.1.1 duplex autospeed auto!ip route 0.0.0.0 route 10.1.2.0 Tunnel0!!access-list 100 permit p 10.1.1 runBuilding configuration...hostname r2!interface Serial0/0ip address serial restart-delay 0!interface Serial0/1ip address serial restart-delay 0!!ip route 10.1.1.0 route 10.1.2.0 runBuilding configuration...hostname r3!!crypto isakmp policy 10authentication pre-sharecrypto isakmp key cisco123 address ipsec transform-set myset esp-des esp-sha-hmac !crypto map mymap 10 ipsec-isakmpset peer set transform-set mysetmatch address 100!interface Tunnel0ip address tunnel source tunnel destination crypto map mymap!interface Serial0/0ip address serial restart-delay 0!interface FastEthernet1/0ip address 10.1.2.1 duplex autospeed auto!ip route 0.0.0.0 route 10.1.1.0 Tunnel0!access-list 100 permit p 10.1.2。

gre over ipsec结构【实用版】目录1.GRE over IPSec 概述2.GRE over IPSec 结构3.GRE over IPSec 的优点4.GRE over IPSec 的应用场景5.GRE over IPSec 的配置示例正文【1.GRE over IPSec 概述】GRE（Generic Routing Encapsulation）是一种通用路由封装协议，用于在不同的网络协议之间进行数据包的封装和传输。

IPSec（Internet Protocol Security）是一种安全协议，用于在互联网协议（IP）网络中实现安全通信。

GRE over IPSec 是一种组合技术，将 GRE 和 IPSec 结合起来，既实现了数据包的封装，又保证了数据通信的安全性。

【2.GRE over IPSec 结构】GRE over IPSec 的结构主要包括三个部分：GRE 头部、IPSec 头部和数据部分。

其中，GRE 头部包含了源地址、目的地址、协议类型等字段，用于标识和路由数据包；IPSec 头部包含了安全参数索引（SPI）、目的网络地址等字段，用于实现数据包的加密和认证；数据部分则是待传输的实际数据。

【3.GRE over IPSec 的优点】GRE over IPSec 具有以下优点：1.提高安全性：通过使用 IPSec 协议，可以对数据包进行加密和认证，有效防止数据在传输过程中的泄露和篡改。

2.降低网络延迟：GRE over IPSec 采用隧道技术，将数据包封装在IPSec 隧道中，可以减少网络传输过程中的路由和处理时间，从而降低网络延迟。

3.支持多种网络协议：GRE 协议可以封装多种网络协议，如 IP、ATM 等，使得 GRE over IPSec 可以广泛应用于各种不同类型的网络环境中。

【4.GRE over IPSec 的应用场景】GRE over IPSec 广泛应用于以下场景：1.虚拟专用网（VPN）：通过建立 GRE over IPSec 隧道，可以实现远程用户和公司内部网络之间的安全通信，实现虚拟专用网的功能。

MSR系列路由器
L2TP OVER IPSEC功能配置
关键字：MSR;L2TP;IPsec;VPN
一、组网需求：
移动用户通过L2TP客户端软件接入LNS以访问总部内网，在PC和LNS之间交互的数据通过IPsec加密后传输。

设备清单：MSR系列路由器1台
PC 1台
二、组网图：
PC的配置如下：
在PC端，采用SECPOINT拨号软件，因此首先需要按照SECPOINT软件，然后再进行拨号连接。

在此假设已经按照此软件，接下来的配置如下：
第一步、创建一个连接，输入LNS地址10.1.1.1,如下：
第二步、设置Pre-share-key为123
第三步、输入VPN的名字“l2tp”，单击完成
第四步、双击刚创建好的连接“l2tp”，设置VPN连接属性，单击高级
第五步、选择IKE设置栏，设置野蛮模式，名字认证方式，并输入本端安全网关名字“pc”和对端安全网关设备名字“lns”。

注意要与LNS侧配置一致。

点击确定，此时就已经配置好PC，双击连接“l2tp”，输入用户名usera和密码usera，就可以连入LNS，访问内网了。

四、配置关键点：
1）
2）L2TP的认证最好采用域方式认证
3）IPsec协商方式采用野蛮方式，采用名字识别4）在接口里应用IPsec Policy
5）PC侧的配置要与LNS上的配置一致。

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

1 典型配置举例导读H3C MSR系列路由器典型配置举例(V7)共包括63个文档，介绍了基于Comware V7软件版本的MSR系列路由器软件特性的典型配置举例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型：款型MSR 5600 MSR 56-60 MSR 56-80MSR 3600 MSR 36-10 MSR 36-20 MSR 36-40 MSR 36-60 MSR3600-28 MSR3600-51MSR 2600 MSR 26-301.2 内容简介典型配置举例中特性的支持情况与MSR系列路由器的款型有关，关于特性支持情况的详细介绍，请参见《H3C MSR 系列路由器配置指导(V7)》和《H3C MSR 系列路由器命令参考(V7)》。

手册包含的文档列表如下：编号名称1H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)2H3C MSR系列路由器作为FTP client升级版本的典型配置举例(V7)3H3C MSR系列路由器作为FTP server升级版本的典型配置举例(V7)4H3C MSR系列路由器采用Boot ROM TFTP方式升级方法的典型配置举例(V7)5H3C MSR系列路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例(V7)6H3C MSR系列路由器内网用户通过NAT地址访问内网服务器典型配置举例(V7)7H3C MSR系列路由器内部服务器负载分担典型配置举例(V7)8H3C MSR系列路由器NAT DNS mapping典型配置举例(V7)9H3C MSR系列路由器定时执行任务典型配置举例(V7)10H3C MSR系列路由器RBAC典型配置举例(V7)11H3C MSR系列路由器以太网链路聚合典型配置举例(V7)12H3C MSR系列路由器端口隔离典型配置举例(V7)13H3C MSR系列路由器VLAN典型配置举例(V7)14H3C MSR系列路由器QinQ典型配置举例(V7)15H3C MSR系列路由器PPP典型配置案例(V7)16H3C MSR系列路由器建立LAC-Auto-Initiated模式L2TP隧道典型配置举例(V7) 17H3C MSR系列路由器建立Client-Initiated模式L2TP隧道的典型配置举例(V7) 18H3C MSR系列路由器L2TP多实例典型配置举例(V7)19H3C MSR系列路由器L2TP多域接入典型配置举例(V7)20H3C MSR系列路由器L2TP over IPsec典型配置举例(V7)21H3C MSR系列路由器AAA典型配置举例(V7)22H3C MSR系列路由器802.1X本地认证典型配置举例(V7)23H3C MSR系列路由器802.1X结合Radius服务器典型配置举例(V7)24H3C MSR系列路由器IPsec典型配置举例(V7)25H3C MSR系列路由器Portal典型配置举例(V7)26H3C MSR系列路由器SSH典型配置举例(V7)27H3C MSR系列路由器OSPF典型配置举例(V7)28H3C MSR系列路由器IS-IS典型配置举例(V7)29H3C MSR系列路由器OSPFv3典型配置举例(V7)30H3C MSR系列路由器IPv6 IS-IS典型配置举例(V7)31H3C MSR系列路由器BGP基础典型配置举例(V7)32H3C MSR系列路由器路由策略典型配置举例(V7)33H3C MSR系列路由器策略路由典型配置举例(V7)34H3C MSR系列路由器Tcl脚本典型配置举例(V7)35H3C MSR系列路由器GRE和OSPF结合使用典型配置举例(V7)36H3C MSR系列路由器IPv6 over IPv4 GRE隧道典型配置举例(V7)37H3C MSR系列路由器ISATAP和6to4相结合使用的典型配置举例(V7)38H3C MSR系列路由器IPv6手动隧道+OSPFv3功能的典型配置举例(V7)39H3C MSR系列路由器授权ARP功能典型配置举例(V7)40H3C MSR系列路由器ARP防攻击特性典型配置举例(V7)41H3C MSR系列路由器ACL典型配置举例(V7)42H3C MSR系列路由器流量监管典型配置举例(V7)43H3C MSR系列路由器流量整形典型配置举例(V7)44H3C MSR系列路由器基于控制平面应用QoS策略典型配置举例(V7)45H3C MSR系列路由器IGMP Snooping典型配置举例(V7)46H3C MSR系列路由器IGMP典型配置举例(V7)47H3C MSR系列路由器组播VPN配置举例(V7)48H3C MSR系列路由器MPLS基础典型配置举例(V7)49H3C MSR系列路由器MPLS L3VPN典型配置举例(V7)50H3C MSR系列路由器HoVPN典型配置举例(V7)51H3C MSR系列路由器MPLS TE典型配置举例(V7)52H3C MSR系列路由器MPLS OAM典型配置举例(V7)53H3C MSR系列路由器作为重定向服务器反向Telnet的典型配置举例(V7)54H3C MSR系列路由器BFD典型配置举例(V7)55H3C MSR系列路由器VRRP典型配置举例(V7)56H3C MSR系列路由器SNMP典型配置举例(V7)57H3C MSR系列路由器Sampler结合IPv4 NetStream使用典型配置举例(V7)58H3C MSR系列路由器NQA典型配置举例(V7)59H3C MSR系列路由器EAA监控策略典型配置举例(V7)60H3C MSR系列路由器NTP典型配置举例(V7)61H3C MSR系列路由器RMON统计功能典型配置举例(V7)62H3C MSR系列路由器终端为流接入方式且应用为流连接方式典型配置举例(V7) 63H3C MSR系列路由器终端为TCP接入且应用为TCP连接方式典型配置举例(V7)H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

MSR系列路由器拨号接口上配置IPSec功能的配置关键词：MSR;PPP;PAP;PPPoE;Client;Server;Dialer;IPSec;IKE
一、组网需求：
PPPoE Client和PPPoE Server通过PPPoE建立拨号关系，双方在拨号接口和虚模板上配置IPSec策略，使两边的私有数据得以加密传送
设备清单：MSR系列路由器2台
二、组网图：
三、配置步骤：
设备和版本：MSR系列、Version 5.20, Release 1509
四、配置关键点：
1) PPPoE Client和PPPoE Server可以参见《MSR系列路由器PPPoE Client功能的配置》，PAP认证可以参见PPP认证典型配置；
2) 当PPPoE Server没有为PPP认证用户指定认证域时，地址池配置在全局视图下;
3) IKE发起方PPPoE Client必须指定接收方PPPoE Server的地址；
4) IKE接收方PPPoE Server可以指定对方所属的地址范围；
5) IPSec的配置除了IKE Peer配置部分可以参考《MSR系列路由器IPSec + IKE 功能的配置》；
6) 发起方和接收方IPSec策略分别绑定在Dialer0和Virtual-Template0下；
7) 双方通过配置静态路由将内网流量引入到Dialer0和Virtual-Template0。

GRE OVER IPSEC WITH OSPF配置举例摘要：本文简单描述了应用了OSPF路由的GRE Over IPsec的特点，详细描述了在SecPath 系列防火墙上配置GRE over IPsec with OSPF的基本配置方法和详细步骤，给出了一种GRE Over IPsec with OSPF的基本配置案例。

目录1 特性介绍 (3)2 特性的优点 (3)3 使用指南 (3)3.1 使用场合 (3)3.2.1 配置IPsec安全联盟 (3)3.2.2 配置GRE协议 (5)3.2.3 配置OSPF路由协议 (6)3.3 注意事项 (6)3.4 举例 (7)3.4.1 组网需求 (7)3.4.2 组网图 (7)3.4.3 配置 (7)3.4.4 验证结果 (12)3.4.5 故障排除 (15)4 关键命令 (16)4.1 ipsec policy（系统视图） (16)4.2 ipsec card-proposal (17)4.3 ike peer (18)5 相关资料 (18)5.1 相关协议和标准 (18)1特性介绍IPsec（IP security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

GRE协议是对某些网络层协议的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议中传输。

GRE是VPN的第三层隧道协议，在协议层之间采用了一种被称之为Tunnel 的技术。

Tunnel是一个虚拟的点对点的连接，在实际中可以看成仅支持点对点连接的虚拟接口，这个接口提供了一条通路使封装的数据报能够在这个通路上传输，并且在一个Tunnel 的两端分别对数据报进行封装及解封装。

通常情况下，IPsec不能传输路由协议，例如RIP和OSPF；或者非IP数据流，例如IPX （Internetwork Packet Exchange）和AppleTalk。

路由器-IPSec-Over-GRE典型配置【需求】分部1和分部2通过野蛮IPSec的方式连接到中心，采用IPSec-Over-GRE的方式，在tunnel上运行OSPF协议来实现总部和分部之间的互通。

【组网图】【验证】1、中心上的ike sa 状态：disp ike saconnection-id peer flag phase doi----------------------------------------------------------44 RD 1 IPSEC48 RD 2 IPSEC47 RD 1 IPSEC45 RD 2 IPSECflag meaningRD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT2、中心上的IPSec sa状态：disp ipsec sa===============================Interface: Tunnel0path MTU: 64000===============================-----------------------------IPsec policy name: "branch1"sequence number: 10mode: isakmp-----------------------------connection id: 8encapsulation mode: tunnelperfect forward secrecy: Nonetunnel:local address: remote address: flow: (4 times matched)sour addr: port: 0 protocol: IPdest addr: port: 0 protocol: IP[inbound ESP SAs]spi: 30 (0xa10cff2a)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 64/2136max received sequence-number: 2udp encapsulation used for nat traversal: N[outbound ESP SAs]spi: 50 (0x7f1c678e)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 32/2136max sent sequence-number: 3udp encapsulation used for nat traversal: N===============================Interface: Tunnel1path MTU: 64000===============================-----------------------------IPsec policy name: "branch2"sequence number: 10mode: isakmp-----------------------------connection id: 9encapsulation mode: tunnelperfect forward secrecy: Nonetunnel:local address: remote address: flow: (18 times matched)sour addr: port: 0 protocol: IPdest addr: port: 0 protocol: IP[inbound ESP SAs]spi: 48 (0x60184b94)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 88/2886max received sequence-number: 9udp encapsulation used for nat traversal: N[outbound ESP SAs]spi: 22 (0xcc966a16)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 44/2886max sent sequence-number: 10udp encapsulation used for nat traversal: N3、中心路由表disp ip routRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop InterfaceSTATIC 60 0 Serial2/0/0DIRECT 0 0 InLoopBack0OSPF 10 1563 Tunnel0OSPF 10 1563 Tunnel1DIRECT 0 0 Tunnel0DIRECT 0 0 InLoopBack0DIRECT 0 0 Tunnel1DIRECT 0 0 InLoopBack0DIRECT 0 0 InLoopBack0DIRECT 0 0 InLoopBack0DIRECT 0 0 LoopBack10DIRECT 0 0 InLoopBack0OSPF 10 1563 Tunnel0OSPF 10 1563 Tunnel1DIRECT 0 0 Serial2/0/0DIRECT 0 0 Serial2/0/0DIRECT 0 0 InLoopBack04、分部1的ike sa状态：disp ike saconnection-id peer flag phase doi----------------------------------------------------------27 RD|ST 1 IPSEC28 RD|ST 2 IPSECflag meaningRD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO—TIMEOUT5、分部1的ipsec sa状态：disp ipsec sa===============================Interface: Tunnel0path MTU: 64000===============================-----------------------------IPsec policy name: "branch1"sequence number: 10mode: isakmp-----------------------------connection id: 6encapsulation mode: tunnelperfect forward secrecy: Nonetunnel:local address: remote address: flow: (4 times matched)sour addr: port: 0 protocol: IPdest addr: port: 0 protocol: IP[inbound ESP SAs]spi: 50 (0x7f1c678e)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 64/2054max received sequence-number: 2udp encapsulation used for nat traversal: N[outbound ESP SAs]spi: 30 (0xa10cff2a)proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5sa remaining key duration (bytes/sec): 32/2054max sent sequence-number: 3udp encapsulation used for nat traversal: N6、分部1的路由表：disp ip routRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface STATIC 60 0 Serial2/0/0OSPF 10 1563 Tunnel0DIRECT 0 0 InLoopBack0OSPF 10 3125 Tunnel0DIRECT 0 0 Tunnel0DIRECT 0 0 InLoopBack0OSPF 10 3124 Tunnel0DIRECT 0 0 InLoopBack0DIRECT 0 0 InLoopBack0OSPF 10 1563 Tunnel0DIRECT 0 0 LoopBack10DIRECT 0 0 InLoopBack0OSPF 10 3125 Tunnel0DIRECT 0 0 Serial2/0/0DIRECT 0 0 Serial2/0/0DIRECT 0 0 InLoopBack0【提示】1、IPSec-Over-GRE和GRE-Over-IPSec方式配置上的区别为：2、各个分部和总部之间通过OSPF路由来实现互访，如果没有运行OSPF则必需在分部和总部配置静态路由。

MSR系列路由器
GRE Over IPSec + OSPF穿越NAT多分支互通配置关键词：MSR;IPSec;IKE;野蛮模式;模板;VPN;多分支互通;NA T;穿越;OSPF;GRE
一、组网需求：
总部对多个分支提供IPSec VPN接入，分支出口存在NAT设备，因此总部与分支之间配置成野蛮模式和NAT穿越，总部路由器不配置ACL，而使用安全模板，总部和分支之间通过内网Loopback建立GRE隧道，分支通过建立ACL使分支Loopback和总部Loopback之间的GRE通过IPSec互通，建立好GRE隧道后，在隧道上运行OSPF，使各内部路由互通，分支之间的流量通过总部转发，需要注意的是Loopback口不能添加到OSPF中
设备清单：MSR系列路由器5台
二、组网图：
三、配置步骤：
四、配置关键点：
1) 大部分配置参考IPSec VPN多分支NAT穿越模板方式功能的配置；
2) 分支的ACL可以配置成精确的GRE流量；
3) 建立GRE隧道的地址必须是内网地址；
4) 不能将建立GRE隧道连接的Loopback接口加入到OSPF，否则连接会失效。

GRE over IPSEC路由配置GRE over IPSEC路由配置r1（0/0）——r2——（1/1）r3GRE over IPSEC先ipsec在gre解决了ipsec无法传递多播流量问题，即可以在ipsec中跑路由协议，而且协议是通过加密的！！R1：crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key zaq address 2.3.0.1！crypto ipsec transform-set vpn esp-des！crypto map vpn 10 ipsec-isakmp set peer 2.3.0.1 set transform-set vpn match address 101！interface Tunnel0 ip address 1.3.0.1 255.255.255.0 tunnel source FastEthernet0/0 tunnel destination 2.3.0.1！interface Loopback0 ip address 1.1.1.1 255.255.255.255！interface Loopback1 ip address 10.0.0.1 255.255.255.0！interface FastEthernet0/0 ip address 1.2.0.1 255.255.255.0 duplex full crypto map vpn！router ospf 1 log-adjacency-changes！ip route 0.0.0.0 0.0.0.0 1.2.0.2！access-list 101 permit gre host 1.2.0.1 host 2.3.0.1R2：interface FastEthernet0/0 ip address 1.2.0.2 255.255.255.0 duplex full！interface FastEthernet1/1 ip address 2.3.0.2 255.255.255.0 duplex full speed autoR3：crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key zaq address 1.2.0.1！crypto ipsec transform-set vpn esp-des！crypto map vpn 10 ipsec-isakmp set peer 1.2.0.1 set transform-set vpn match address 101！interface Tunnel0 ip address 1.3.0.2 255.255.255.0 tunnel source FastEthernet1/1 tunnel destination 1.2.0.1！interface Loopback0 ip address 3.3.3.3 255.255.255.255！interface Loopback1 ip address 30.0.0.1 255.255.255.0！interface FastEthernet1/1 ip address 2.3.0.1 255.255.255.0 duplex full speed auto crypto map vpn！ip route 0.0.0.0 0.0.0.0 2.3.0.2！access-list 101 permit gre host 2.3.0.1 host 1.2.0.1Router#show crypto engine connections active IDInterface IP-Address State Algorithm Encrypt Decrypt 1FastEthernet1/1 2.3.0.1 set HMAC_MD5+DES_56_CB 0 0 2001FastEthernet1/1 2.3.0.1 set DES 0 27 2002FastEthernet1/1 2.3.0.1 set DES 27 0 Router#show crypto isakmp sadst src state conn-id slot status 1.2.0.1 2.3.0.1 QM_IDLE 1 0 ACTIVE Router#show crypto isakmp peers Peer：1.2.0.1 Port：500 Local：2.3.0.1 Phase1 id：1.2.0.1 Router#show crypto ipsec sa interface：FastEthernet1/1 Crypto map tag：vpn，local addr 2.3.0.1 protected vrf：（none）local ident （addr/mask/prot/port）：（2.3.0.1/255.255.255.255/47/0）remote ident （addr/mask/prot/port）：（1.2.0.1/255.255.255.255/47/0）current_peer 1.2.0.1 port 500 PERMIT，flags={origin_is_acl，} #pkts encaps：44，#pkts encrypt：44，#pkts digest：44 #pkts decaps：44，#pkts decrypt：44，#pkts verify：44 #pkts compressed：0，#pkts decompressed：0 #pkts not compressed：0，#pkts compr. failed：0 #pkts not decompressed：0，#pkts decompress failed：0 #send errors 1，#recv errors 0 local crypto endpt.：2.3.0.1，remote crypto endpt.：1.2.0.1 path mtu 1500，ip mtu 1500，ip mtu idb FastEthernet1/1 current outbound spi：0xEAA8551D（3936900381）inbound esp sas：spi：0x323BE771（842786673）transform：esp-des ，in use settings ={Tunnel，} conn id：2001，flow_id：1，crypto map：vpn sa timing：remaining key lifetime （k/sec）：（4493451/2885）IV size：8 bytes replay detection support：N Status：ACTIVE inbound ah sas：inbound pcp sas：outbound esp sas：spi：0xEAA8551D（3936900381）transform：esp-des ，in use settings ={Tunnel，} conn id：2002，flow_id：2，crypto map：vpn sa timing：remaining key lifetime （k/sec）：（4493451/2884）IV size：8 bytes replay detection support：N Status：ACTIVE outbound ah sas：outbound pcp sas：还有一种是ipsec over gre 个人认为没有意义，因为虽然解决了多播问题，但是多播是明文传输，所以ipsec就没有意义了，还不如直接用gre就好了！！。